【IT168资讯】现在还一直在网上沸沸扬扬热传的“艳照门”事件，给我们茶余饭后增加了一个新的谈资，但同时也为我们个人乃至企业的数据安全敲响了防护的警钟――从这个事件中得到教训，审视一下企业自身的安全防范工作，是否还存在漏洞或者被忽视了的角落。

　　目前国内的中小企业，多数对网络安全应该做哪些防范措施概念全无，甚至有很多中小企业将数据直接暴露在公网上，企业网络及网内数据已经被非法访问或者被修改尚且不自知；而与此相对应的，是侵害企业数据安全种类与方法的复杂多样性，如黑客入侵、网络诈骗、维修泄密、病毒感染等等。

　　比如财务数据，财务部门以为Excel表文档只要设置文件打开的保护密码就可以了？其实，Excel文件的密码保护功能非常薄弱，特别是用户设置保密性极低纯数字式密码，很轻松就能被黑客搞掂。现在随便一个十几岁的小孩都能懂一两招黑客的高招，若是企业电脑有问题要去送修，同时又碰到对你企业财务数据感兴趣的幕后“奇拿”，这种简单的密码只需要利用相关的破译工具，不到一天时间就可以破译出来企业网内的客户资料、企业订单信息、相关帐户信息，凡是密码文件，一个也跑不了。

　　即使对电脑内的重要文件甚至重要硬盘设置隐藏，这种此地无银三百两的手法，却往往是病毒普遍采用的一招，高明的“奇拿”同样可以通过设置“显示隐藏文件”，或者通过DOS环境查看到隐藏的内容。那么企业的秘密也就昭告天下。

　　那么究竟应该怎样保全企业的数据安全呢，这里有以下几招方法推荐给广大中小企业：

　　一、本地文件的安全招术

　　1、 对于重要的文件，如企业的客户信息、客户订单数据等文件，一律不要存放在用户单机上，而必须统一存放在企业的文件服务器中，由于文件服务器设置了严格的访问权限与备份机制，文件相对安全许多。

　　2、 当电脑损坏需要修理时，无论是内部修理还是外部送修，要做的第一件事情，就是把原有的硬盘换下来，可以从根本上防止了数据泄露的可能，也可以进而判断电脑的故障是否与硬盘有关。

　　3、采用EFS加密系统，这是微软的得意之作，实现起来也较为简单：设置两个用户，一个是用户自己的账户与密码，对其保存数据的文件夹设置EFS加密；另一个是管理员用户账户。当电脑发生故障时，电脑管理人员可以利用管理员的身份进去进行诊断，但却不能访问有EFS加密的其他用户文件。具体操作如下：

　　(1)在需要加密的文件夹，选择“属性”，然后单击弹出窗口中的“常规”标签，再单击最下方的“属性→高级”，在“压缩或加密属性”一栏中，把“加密内容以便保护数据”勾选上。

　　(2)单击“确定”按钮，回到文件属性再单击“应用”按钮，会弹出“确认属性更改”窗口，在“将该应用用于该文件夹、子文件夹和文件”打上“√”，最后单击“确定”按钮即开始加密文件。这样这个文件夹里的原来有的以及新建的所有文件和子文件夹都被自动加密了。

　　4、使用第三方软件加密

　　可以根据个人或公司的安全需求级别选择免费或收费的第三方加密软件，避嫌于做广告，笔者在这里就不推荐了，大家可以到各大搜索引擎搜索或者到相关论坛选择那些受到好评的加密软件。

　　二、系统账号密码的安全原则

　　首先禁用guest帐号，将系统内建的administrator帐号改名～～（改的越复杂越好，最好改成中文的），而且要设置一个密码，最好是8位以上字母数字符号组合。 (让那些该死的黑客慢慢猜去吧～）

　　如果你使用的是其他帐号，最好不要将其加进administrators，如果加入administrators组，一定也要设置一个足够安全的密码，同上如果你设置administrator的密码时，最好在安全模式下设置，因为经我研究发现，在系统中拥有最高权限的帐号，不是正常登陆下的administrator帐号，因为即使有了这个帐号，同样可以登陆安全模式，将SAM文件删除，从而更改系统的administrator的密码！而在安全模式下设置的administrator则不会出现这种情况，因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略：用户可以根据自己的习惯设置密码，下面是我建议的设置：

　　打开管理工具.本地安全设置.密码策略

　　1.密码必须符合复杂要求性.启用
　　
　　2.密码最小值.我设置的是8
　　
　　3.密码最长使用期限.我是默认设置42天

　　4.密码最短使用期限0天

　　5.强制密码历史 记住0个密码

　　6.用可还原的加密来存储密码 禁用

　　三、禁用系统闲置服务

　　打开控制面板，进入管理工具—服务，关闭以下服务 
 
　　1.Alerter[通知选定的用户和计算机管理警报]

　　2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]

　　3.Distributed File System[将分散的文件共享合并成一个逻辑名称，共享出去，关闭后远程计算机无法访问共享

　　4.Distributed Link Tracking Server[适用局域网分布式链接跟踪客户端服务]

　　5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]

　　6.IMAPI CD-Burning COM Service[管理 CD 录制]

　　7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性，泄露信息]

　　8.Kerberos Key Distribution Center[授权协议登录网络]

　　9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]

　　10.Messenger[警报]

　　11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]

　　12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]

　　13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]

　　14.Print Spooler[打印机服务，没有打印机就禁止吧]

　　15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助]

　　16.Remote Registry[使远程计算机用户修改本地注册表]

　　17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]

　　18.Server[支持此计算机通过网络的文件、打印、和命名管道共享]

　　19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]

　　20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络]

　　21.Telnet[允许远程用户登录到此计算机并运行程序]

　　22.Terminal Services[允许用户以交互方式连接到远程计算机]

　　23.Window s Image Acquisition (WIA)[照相服务，应用与数码摄象机]

　　如果发现机器开启了一些很奇怪的服务，如r_server这样的服务，必须马上停止该服务，因为这完全有可能是黑客使用控制程序的服务端。

　　四、关闭本机不用的端口

　　默认情况下Windows有很多端口是开放的，一旦你上网，黑客可以通过这些端口连上你的电脑，因此你应该封闭这些端口。主要有:TCP139、445、 593、1025 端口和 UDP123、137、138、445、1900端口、一些流行病毒的后门端口(如 TCP 2513、2745、3127、6129 端口)，以及远程服务访问端口3389。关闭的方法是:

　　①137、138、139、445端口:它们都是为共享而开放的，你应该禁止别人共享你的机器，所以要把这些端口全部关闭，方法是:单击“开始→控制面板 →系统→硬件→设备管理器”，单击“查看”菜单下的“显示隐藏的设备”，双击“非即插即用驱动程序”，找到并双击NetBios over Tcpip，在打开的“NetBios over Tcpip属性”窗口中，单击选中“常规”标签下的“不要使用这个设备(停用)”，单击“确定”按钮后重新启动后即可。

　　②关闭UDP123端口:单击“开始→设置→控制面板”，双击“管理工具→服务”，停止Windows Time服务即可。关闭UDP 123端口，可以防范某些蠕虫病毒。

　　③关闭UDP1900端口:在控制面板中双击“管理工具→服务”，停止SSDP Discovery Service 服务即可。关闭这个端口，可以防范DDoS攻击。

　　④其他端口:你可以用网络防火墙来关闭，或者在“控制面板”中，双击“管理工具→本地安全策略”，选中“IP 安全策略，在本地计算机”，创建 IP 安全策略来关闭。

　　五、重定向本机默认端口，保护系统安全

　　如果本机的默认端口不能关闭，你应该将它“重定向”。把该端口重定向到另一个地址，这样即可隐藏公认的默认端口，降低受破坏机率，保护系统安全。

　　例如你的电脑上开放了远程终端服务(Terminal Server)端口(默认是3389)，可以将它重定向到另一个端口(例如1234)，方法是:

　　1.在本机上(服务器端)修改

　　定位到下列两个注册表项，将其中的 PortNumber，全部改成自定义的端口(例如1234)即可:

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\
Tds\tcp]

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
 
　　2.在客户端上修改

　　依次单击“开始→程序→附件→通讯→远程桌面连接”，打开“远程桌面连接”窗口，单击“选项”按钮扩展窗口，填写完相关参数后，单击“常规”下的“另存为”按钮，将该连接参数导出为.rdp文件。用记事本打开该文件，在文件最后添加一行:server port:i:1234 (这里填写你服务器自定义的端口)。以后，直接双击这个.rdp 文件即可连接到服务器的这个自定义端口了。

　　六、安装防火墙和及时升级安全补丁

　　对于个人电脑，要安装个人软件防火墙和杀毒软件，并及时升级安全补丁(包括windows补丁和杀毒软件)。安装个人防火墙并及时升级安全补丁可以有效的阻挡来源于网络的攻击。对于企业来说，则需要在公司网关出口配置硬件防火墙或安全网关，可以有效防范黑客的入侵及网络病毒的侵扰。因为防火墙具有数据过滤功能，可以有效的过滤掉恶意代码，和阻止DDOS攻击等等。总之如今的防火墙功能强大，连漏洞扫描都有，所以只要安装防火墙就可以杜绝大多数网络攻击。特别推荐盛世网安多合一安全网关，这是一款特别针对中国本土企业的高睿智实用经济型网络安全产品。

　　企业网络安全是一个不可分割的整体，它包括个人本地电脑安全与网关安全两大关键性要素：企业网网关处的安全保障着所有网内个人电脑信息的安全，而所有个人本地电脑的安全才能构成整体企业网络的安全，苍蝇不盯无缝的蛋，用户若未安装防火墙、未及时升级安全补丁，黑客一般也是先捡这些容易的下手。因此，要避免企业信息数据的“艳照门”事件，就要把企业网关安全和个人本地电脑安全的工作都同时做到位，方可以保障万无一失。